Verificare l'ambiente NSX-V prima di avviare una migrazione end-to-end.

Stato del sistema

Controllare i seguenti stati del sistema:

  • Se l'ambiente è vSphere 7.0 o versione successiva, aggiornare il VDS alla versione 7.0 o successiva.
  • Verificare che i componenti di NSX-V siano in uno stato valido (colore verde) sul dashboard NSX.
  • Verificare che tutti gli host ESXi siano in uno stato operativo. Risolvere eventuali problemi con gli host, inclusi gli stati disconnessi. Per attivare la modalità di manutenzione non devono essere presenti riavvii in sospeso o attività in sospeso.
  • Verificare che non siano in corso aggiornamenti di NSX-V.
  • Verificare lo stato di pubblicazione del firewall distribuito e di Service Composer per assicurarsi che non vi siano modifiche non pubblicate.
  • È possibile abilitare vSphere High Availability (HA) se nell'ambiente NSX-V è disponibile VDS 7.0 o versione successiva.

    Nota: l'alta disponibilità non è supportata per le versioni precedenti di VDS. Ciò è dovuto al fatto che se l'ambiente NSX-V dispone di VDS 6.5 o 6.7 e le porte vmkernel (vmk) sono collegate ai VDS, durante una migrazione sul posto, gli host e le macchine virtuali possono perdere la connettività di rete per un periodo di tempo sufficientemente lungo da attivare l'alta disponibilità. Il meccanismo HA tenterà di spegnere, migrare e riavviare le macchine virtuali. L'operazione potrebbe non riuscire perché è in corso la migrazione dell'ambiente NSX-V in NSX. Di conseguenza, dopo la migrazione, le macchine virtuali potrebbero rimanere spente o non disporre di connettività di rete se accese. Per evitare questa situazione, disabilitare l'alta disponibilità o collegare la vmk di gestione a un VSS prima di avviare la migrazione.

Configurazione generale

  • Eseguire il backup degli ambienti NSX-V e vSphere. Vedere "Backup e ripristino di NSX" nella Guida all'amministrazione di NSX.
  • La porta VXLAN deve essere impostata su 4789. Se l'ambiente NSX-V utilizza una porta diversa, è necessario modificarla per poter eseguire la migrazione. Vedere "Modifica della porta VXLAN" nella Guida all'amministrazione di NSX di NSX-V.

Configurazione controller

  • Le zone di trasporto NSX-V che utilizzano la modalità di replica multicast o ibrida non sono supportate per la migrazione. Se VXLAN è in uso, è necessario un cluster NSX Controller. Le topologie di microsegmentazione con supporto VLAN non utilizzano VXLAN e quindi non richiedono un cluster NSX Controller.

Configurazione host

  • In tutti i cluster di host nell'ambiente NSX-V, controllare le seguenti impostazioni e aggiornarle se necessario:
    • Impostare vSphere DRS nel modo appropriato.

      Disabilitare la modalità DRS di vSphere se si verifica una delle seguenti condizioni:

      • Verrà utilizzata la modalità di migrazione Sul posto. In questa modalità, gli host non vengono impostati sulla modalità di manutenzione durante la migrazione e le macchine virtuali subiranno un'interruzione della rete e dello storage di rete durante la migrazione. Questa modalità è disponibile solo se l'ambiente è vSphere 6.x (VDS verrà migrato a N-VDS).
      • Verrà utilizzata la modalità di migrazione Manutenzione manuale. Se si decide di utilizzare vMotion per la migrazione delle macchine virtuali, è possibile disabilitare vSphere DRS o impostare il livello di automazione di vSphere DRS su Manuale, Parzialmente automatizzato o Completamente automatizzato.
      • Verrà utilizzata la modalità di migrazione Manutenzione automatizzata e la VDS versione 6.5 o 6.7.

      Impostare la modalità DRS di vSphere su Completamente automatizzata se:

      • Verrà utilizzata la modalità di migrazione Manutenzione automatizzata e la VDS versione 7.0.

      Notare che nella modalità di Manutenzione automatica, il coordinatore migrazione non riconfigura le macchine virtuali spente. Dopo la migrazione è necessario configurare manualmente queste macchine virtuali prima di accenderle.

  • Per eseguire la migrazione delle regole del servizio Network Introspection, utilizzare la modalità di migrazione dell'host Manutenzione. La modalità di migrazione Sul posto non è supportata.
  • Se si dispone di host su cui è installato NSX-V ma che non sono stati aggiunti a un vSphere Distributed Switch, è necessario aggiungerli ai commutatori distribuiti se si desidera eseguirne la migrazione in NSX. Per ulteriori informazioni, consultare Configurazione di host non collegati a vSphere Distributed Switch.
  • In ogni cluster in cui è installato NSX-V, verificare che il firewall distribuito sia abilitato. È possibile visualizzare lo stato di abilitazione in Installazione e aggiornamento > Preparazione host.

    Se il firewall distribuito è abilitato in uno qualsiasi dei cluster NSX-V prima della migrazione, il firewall distribuito viene abilitato in tutti i cluster quando vengono migrati a NSX. Determinare l'impatto dell'abilitazione del firewall distribuito su tutti i cluster e modificare la configurazione di tale firewall, se necessario.

Configurazione del gateway dei servizi Edge

  • Prima di avviare la migrazione, potrebbe essere necessario apportare modifiche alla configurazione della ridistribuzione delle route di NSX-V.
    • I filtri di ridistribuzione non vengono migrati. Per BGP, i filtri possono essere spostati al livello del router adiacente BGP.
    • Dopo la migrazione, le route acquisite in modo dinamico tra il router logico distribuito e il gateway dei servizi Edge vengono convertite in route statiche e tutte le route statiche vengono ridistribuite in BGP o OSPF. Se è necessario filtrare una qualsiasi di queste route, è possibile configurarle a livello del router adiacente BGP o configurare manualmente le regole di ridistribuzione su NSX dopo aver completato la migrazione della configurazione e prima del blocco. Tenere presente che se si esegue il rollback, verrà rimossa anche la configurazione manuale delle regole di ridistribuzione.
    • L'impostazione di MTU predefinita è 1500 su NSX. Se sono presenti requisiti di impostazione MTU non predefiniti, è possibile modificare l'impostazione. Vedere Modifica delle impostazioni MTU globali.
  • NSX-V supporta le sessioni VPN IPSec basate su criteri in cui le subnet locali e peer di due o più sessioni si sovrappongono tra loro. Questo comportamento non è supportato in NSX. È necessario riconfigurare le subnet in modo che non si sovrappongano prima di avviare la migrazione. Se questo problema di configurazione non viene risolto, il passaggio Migra configurazione non riesce.
  • Se si dispone di un gateway dei servizi Edge che esegue la funzione di bilanciamento del carico con un solo ramo, è necessario modificare le seguenti configurazioni, se presenti, prima di importare la configurazione:
    • Se il gateway dei servizi Edge dispone di un'interfaccia configurata per la gestione, è necessario eliminarla prima di procedere alla migrazione. È possibile avere una sola interfaccia connessa in un gateway dei servizi Edge che fornisca la funzione di bilanciamento del carico con un solo ramo. Se sono presenti più interfacce, il passaggio Migra configurazione non riesce.
    • Se il firewall del gateway dei servizi Edge è disabilitato e la regola predefinita è impostata su Nega, è necessario abilitare il firewall e modificare la regola predefinita su Accetta. Dopo la migrazione, il firewall viene abilitato nel gateway di livello 1 e l'accettazione della regola predefinita diventa effettiva. La modifica della regola predefinita su Accetta prima della migrazione impedisce il blocco del traffico in entrata verso il bilanciamento del carico.
  • Verificare che i gateway dei servizi Edge siano tutti connessi correttamente alla topologia di cui si sta eseguendo la migrazione. Se i gateway dei servizi Edge fanno parte dell'ambiente NSX-V, ma non sono collegati correttamente al resto dell'ambiente, non vengono migrati.
    Ad esempio, un gateway dei servizi Edge non viene migrato se è configurato come bilanciamento del carico con un solo ramo ma presenta una delle seguenti configurazioni:
    • Il gateway dei servizi Edge non dispone di un'interfaccia di uplink connessa a un commutatore logico.
    • Il gateway dei servizi Edge dispone di un'interfaccia di uplink connessa a un commutatore logico, ma l'indirizzo IP di uplink non corrisponde alla subnet associata al router logico distribuito che si connette al commutatore logico.

Configurazione sicurezza

  • Se si intende utilizzare vMotion per spostare le macchine virtuali durante la migrazione, disabilitare tutti i criteri SpoofGuard in NSX-V per evitare la perdita di pacchetti.
    • La modalità di manutenzione automatizzata utilizza DRS e vMotion per spostare le macchine virtuali durante la migrazione.
    • In modalità di manutenzione manuale, è possibile utilizzare facoltativamente vMotion per spostare le macchine virtuali durante la migrazione.
    • La modalità di migrazione Sul posto non utilizza vMotion.

Configurazione gruppo di sicurezza

Se i criteri di sicurezza esistenti contengono regole del servizio di Guest Introspection applicate ai gruppi di sicurezza con membri di macchine virtuali statiche o membri dinamici diversi dalle macchine virtuali, eseguire i passaggi seguenti:
  1. Creare nuovi gruppi di sicurezza con macchine virtuali solo nei criteri di appartenenza dinamica. Assicurarsi che i criteri di appartenenza dinamica producano gli stessi membri effettivi della macchina virtuale dei gruppi di sicurezza originali.
  2. Prima di iniziare la migrazione, aggiornare i criteri di sicurezza esistenti per applicare i nuovi gruppi di sicurezza alle regole del servizio Guest Introspection.

    Se si preferisce non aggiornare i criteri di sicurezza esistenti prima della migrazione, è comunque possibile mantenere pronti i nuovi gruppi di sicurezza con i criteri di appartenenza dinamica corretti nell'ambiente NSX-V. Nel passaggio Risolvi configurazione del processo di migrazione verrà richiesto di fornire gruppi di sicurezza alternativi.

Sincronizzazione di Service Composer

Prima di avviare la migrazione, assicurarsi che Service Composer sia sincronizzato con il firewall distribuito. Una sincronizzazione manuale garantisce che, se si apportano modifiche dell'ultimo minuto alla configurazione dei criteri prima di iniziare la migrazione, queste modifiche vengano applicate anche ai criteri di sicurezza creati utilizzando Security Composer. Ad esempio, si modifica il nome del gruppo di sicurezza utilizzato in una regola del firewall prima di avviare la migrazione.

Per verificare se lo stato di Service Composer è sincronizzato, eseguire i passaggi seguenti:
  1. In vSphere Client, passare a Rete e sicurezza > Sicurezza > Service Composer.
  2. Fare clic sulla scheda Criteri di sicurezza.
  3. Verificare che lo stato della sincronizzazione sia Sincronizzato. Se non è sincronizzato, fare clic su Sincronizza.

È consigliabile fare sempre clic sul pulsante Sincronizza prima di avviare la migrazione anche quando lo stato della sincronizzazione è verde. Eseguire la sincronizzazione manuale indipendentemente dal fatto che siano state apportate modifiche dell'ultimo minuto alla configurazione dei criteri.

Durante la migrazione, se lo stato di Service Composer non è sincronizzato, il passaggio Risolvi configurazione mostra un avviso. È possibile ignorare la migrazione dei criteri di sicurezza creati utilizzando Service Composer ignorando le sezioni relative al firewall distribuito. In alternativa, è possibile eseguire il rollback la migrazione, sincronizzare Service Composer con il firewall distribuito e riavviare la migrazione.